D-Link DNS-1550-04 webdav_mgr.cgi Webdav_Upload_File estouro de buffer baseado em pilha (stack-based overflow)

Uma vulnerabilidade crítica de estouro de buffer na pilha foi identificada em vários dispositivos D-Link, incluindo os modelos DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 e DNS-1550-04. Esta vulnerabilidade reside na função WebdavUploadFile do arquivo /cgi-bin/webdavmgr.cgi. Um atacante remoto pode explorar esta falha manipulando o argumento ffile, o que pode resultar na execução de código arbitrário no dispositivo. A vulnerabilidade foi classificada com um CVSS de 8.8, indicando um risco alto. A falta de uma solução oficial da D-Link agrava a situação, deixando os usuários vulneráveis a ataques.

Small and medium-sized businesses (SMBs) and home users relying on D-Link DNS routers are at significant risk. Organizations with legacy D-Link router deployments or those that have not implemented robust security monitoring practices are particularly vulnerable. Shared hosting environments utilizing D-Link routers as gateway devices also face increased exposure.

• linux / server:

journalctl -u dnsmasq -f | grep -i "webdav_mgr.cgi"

• generic web:

curl -I <router_ip>/cgi-bin/webdav_mgr.cgi | grep -i "200 OK"

• dlink: Check router logs for unusual file upload attempts or errors related to the /cgi-bin/webdav_mgr.cgi endpoint.

1. 2026-03-31Disclosure

   disclosure

2. 2026-03-31PoC

   poc

1. Reservado2026-03-31
2. Publicada2026-03-31
3. Modificada2026-04-03
4. EPSS atualizado2026-04-08

Dado que a D-Link não forneceu uma solução (correção) para CVE-2026-5212, as medidas de mitigação se concentram em reduzir a superfície de ataque e limitar o acesso ao dispositivo. Recomenda-se fortemente isolar os dispositivos afetados da rede pública, restringindo o acesso apenas a redes internas confiáveis. Desativar o serviço WebDAV se não for essencial é uma medida crucial. Implementar um firewall robusto para bloquear o tráfego não autorizado para os dispositivos. Monitorar a atividade da rede em busca de padrões suspeitos. Considere substituir os dispositivos afetados por modelos mais seguros com suporte de segurança atualizado. Embora uma atualização direta de firmware não esteja disponível, monitore para quaisquer lançamentos futuros da D-Link.